如何成功清除“熊猫烧香”病毒

开水里的鱼

　“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

　最近，一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言，在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。 　　

　　“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

　　这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外，金山毒霸技术专家还总结的以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。

　　木马名称：setup.exe　　

　　木马大小：91,648字节　　

　　所在位置：由C至Z盘的根目录下　　

　　附带文件：autorun.inf　　

　　文件内容：　　

　　[AutoRun]　　

　　OPEN=setup.exe

　　shellexecute=setup.exe　　

　　shell\Auto\command=setup.exe　　

　　所在位置：由C至Z盘的根目录下

　　木马名称：spoclsv.exe　　

　　木马大小：91,648字节　　

　　所在位置：C:\windows\system32\drivers\　　

　　木马特征：该木马病毒利用微软IE漏洞（IE7.0也未被幸免）通过网站传播，中了此木马的电脑，会有以下特征：　　

　　1、在任务管理器里有spoclsv.exe文件进程。

2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件，当用户打开电脑的任意一个盘，即执行该木马病毒。　　

　　3、该木马会强制关闭用户打开的“任务管理器”。　　

　　4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。　　

　　5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件，其中包括Symantec的norton企业版。　　

　　6、该木马修改注册表文件，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]　　

　　"CheckedValue"=dword:00000000。　　

　　7、该木马会删除电脑默认的共享目录。　　

　　另外该木马还会删除并感染.com、.pif、.scr、.exe文件，并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件，并会寻找并删除.gho备份文件。

　　解决办法：　　

　　1、拔掉网线断开网络，打开Windows任务管理器，迅速找到spoclsv.exe，结束进程，找到explorer.exe，结束进程，再点击文件，新建任务，输入c:\WINDOWS\explorer.exe，确定。　　

　　2、点击开始，运行，输入cmd回车，输入以下命令：　　

　　del c:\setup.exe /f /q　　

　　del c:\autorun.inf /f /q　　

　如果你的硬盘有多个分区，请逐次将c:改为你实际拥有的盘符（C盘-->Z盘）。上述两个木马文件为只读隐藏，会修改Windows属性，使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。　　

　　3、进入注册表，删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。　　

　　4、删除C:\windows\system32\drivers\spoclsv.exe　　

　　5、修复或重新安装防病毒软件并升级病毒库，彻底全面杀毒，清除恢复被感染的.exe文件。　　

　　6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com，具体方法如下：　　

　　打开C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：　　

　　# Copyright (c) 1993-1999 Microsoft Corp.　　

　　#　　

　　# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.　　

　　#　　

　　# This file contains the mappings of IP addresses to host names. Each　　

　　# entry should be kept on an individual line. The IP address should　　

　　# be placed in the first column followed by the corresponding host name.　　

　　# The IP address and the host name should be separated by at least one　　

　　# space.　　

　　#　

开水里的鱼

# Additionally, comments (such as these) may be inserted on individual　　

　　# lines or following the machine name denoted by a '#' symbol.　　

　　#　

　　# For example:　　

　　#　　

　　# 102.54.94.97 rhino.acme.com # source server　　

　　# 38.25.63.10 x.acme.com # x client host　　

　　127.0.0.1 localhost　　

　　127.0.0.1 *.3322.org　　

　　127.0.0.1 *.sz45.com　　

　　7、修复文件夹选项的“显示所有文件及文件夹”的方法：　　

　　A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

　　如果你设置仍起不了作用，那么接下来看。　　

　　有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

　　针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可　　

　　Windows Registry Editor Version 5.00　　
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"Text"="@shell32.dll,-30501"　　

　　"Type"="radio"　　

　　"CheckedValue"=dword:00000002　　

　　"ValueName"="Hidden"　　

　　"DefaultValue"=dword:00000002　　

　　"HKeyRoot"=dword:80000001　　

　　"HelpID"="shell.hlp#51104"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]　　

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"Text"="@shell32.dll,-30500"　　

　　"Type"="radio"　　

　　"CheckedValue"=dword:00000001　　

　　"ValueName"="Hidden"　　

　　"DefaultValue"=dword:00000002　　

　　"HKeyRoot"=dword:80000001　　

　　"HelpID"="shell.hlp#51105"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]　　

"Type"="checkbox"　　

　　"Text"="@shell32.dll,-30508"　　

　　"WarningIfNotDefault"="@shell32.dll,-28964"　　

　　"HKeyRoot"=dword:80000001　　

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"ValueName"="ShowSuperHidden"　　

　　"CheckedValue"=dword:00000000　　

　　"UncheckedValue"=dword:00000001　　

　　"DefaultValue"=dword:00000000　　

　　"HelpID"="shell.hlp#51103"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]　　

　　@=""　　

　　具体操作方法：　　

　　1）通过记事本新建一个文件　　

　　2）将以上内容复制到新建的记事本文件中　　

　　3）通过记事本文件菜单另存为show.reg　　

　　4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。　　

　　注意：以上方法对win2000和XP有效 　

开水里的鱼

B、HKEY_LOCAL_MACHINE 　 Software 　Microsoft 　 windows 　 CurrentVersion 　 explorer 　 Advanced 　 Folder 　 Hidden 　 SHOWALL，将CheckedValue键值修改为1 　　

　　但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！ 　　

　　方法：删除此CheckedValue键值，单击右键 新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

　　【专家总结】 　　

　　1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。 　　

　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。 　　

　　2、利用组策略，关闭所有驱动器的自动播放功能。 　　

　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。 　　

　　3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 　　

　　步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。 　　

　　4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。 　　

　　5、启用windows防火墙保护本地计算机。 　

　　对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

君玉

小鱼，要是你的帖子早两个星期让我读到，多好啊！

开水里的鱼

看到你中毒了我才找来的

以前不知道

青锋剑

谢谢小鱼！